网管经验谈：配置Linux下的VPN网络

二、使用在Redhat Linux 9.0  网络管理工具来配置CIPE VPN

    1.服务器端配置

    点击“主选单”－“系统配置”－“网络配置”－“新建”－“CIPE（VPN）连接”进行VPN隧道配置。见图－2。
 

图－2 CIPE服务器端配置

    最后点击“生成”按钮产生一个128位（32个16进制数）的密匙，接着点击确定按钮。最后选择“当计算机启动时激活该设备”。CIPE在服务器端配置见表－1：
                  

表－1 CIPE服务器端设定

    点击“前进”按钮继续查看汇总信息见图－3。
 

图－3 CIPE 信息汇总

    激活CIPE连接见图－4。
 

图－4 激活CIPE连接

    下面还要作三项工作：

    （1）使系统支持IP转发，使用命令: /sbin/sysctl –w net.ipv4.ip_forward=1
    （2）添加路由：route add -net 192.168.1.3 netmask 255.255.255.0 gw 192.168.1.9
    （3）打开防火墙的CIPE端口7777

    2.CIPE客户机配置

    由于CIPE要求服务器和客户机的密匙完全相同所以，首先将密匙文件：options.cipcb从服务器复制到客户机主机的/etc/cipe/ 目录中。
    # scp root@192.168.0.3:/etc/cipe/options.cipcb0 /etc/cipe/options.cipcb0
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.3' (RSA) to the list of known hosts.
root@192.168.0.3's password:
options.cipcb0       100% |***************************************| 61       00:00
    CIPE这个软件在服务器端和客户机使用相同的界面。方法和服务器端配置一样，见图－5。

图－5 CIPE客户机配置界面

    3.使用CIPE网络接口连接VPN服务器

     在客户机进行连接测试，首先使用命令察看网络接口：
# ifconfig －cipcb0
cipcb0    Link encap:IPIP Tunnel  HWaddr
          inet addr:10.0.0.2  P-t-P:10.0.0.1  Mask:255.255.255.255
          POINTOPOINT NOTRAILERS RUNNING NOARP  MTU:1442  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
    此时客户机的cipcb0没有激活，使用命令激活cipcb0，然后察看路由表:
#ifup cipcb0
#route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.1        *               255.255.255.255 UH    0      0        0 cipcb0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
    可以看到VPN端口已经打开，路由表中包括CIPE服务器的远程虚拟地址。下面使用ping命令连接CIPE服务器的虚拟地址（10.0.0.1）进行测试。
#ping -c 4 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.681 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.341 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.080 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=0.094 ms
--- 10.0.0.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3013ms
rtt min/avg/max/mdev = 0.080/0.299/0.681/0.243 ms
VPN连接完成。下面断开VPN连接，使用命令：“ifdown cipcb0”然后察看路由表:

#ifdown cipcb0
#route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
录由表的10.0.0.1已经清除。

    这里我们使用在Redhat Linux 9.0  网络管理工具来配置CIPE VPN，对于没有这个工具的Linux发行版本（如RHEL 4.0 ，SUSE、红旗Linux）我们可以通过安装从CIPE软件的官方主页http://sourceforge.net/projects/cipe-linux下载的源代码安装。下篇文章笔者将介绍如何通过命令行配置CIPE VPN服务器，敬请关注。